Plataforma
php
Componente
ac-repair-and-services-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema AC Repair and Services System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en el sitio web, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la función admin/?page=systeminfo/contactinformation y se puede explotar de forma remota. La versión 1.0.1 ya incluye una corrección.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los administradores del sistema, permitiéndole tomar control del sistema. La falta de validación adecuada de los parámetros 'telephone/mobile/address' en la función de contacto es la causa raíz de esta vulnerabilidad.
La vulnerabilidad CVE-2023-5021 fue publicada el 17 de septiembre de 2023. Actualmente no se dispone de información sobre campañas de explotación activas o la existencia de pruebas de concepto (PoC) públicas. La puntuación CVSS de 3.5 indica un riesgo bajo, pero la facilidad de explotación y el potencial impacto hacen que sea importante aplicar la mitigación lo antes posible.
Organizations utilizing the AC Repair and Services System for managing customer information or scheduling appointments are at risk. Specifically, those using the vulnerable versions 1.0-1.0 and those with limited security controls or monitoring in place are particularly susceptible to exploitation.
• wordpress / composer / npm:
grep -r "admin/?page=system_info/contact_information" ./*• generic web:
curl -I <URL_TO_VULNERABLE_PAGE>Check response headers for potential XSS indicators (e.g., missing Content-Security-Policy). • generic web:
curl '<VULNERABLE_URL>?telephone=<XSS_PAYLOAD>' -vInspect the response body for signs of script execution.
disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema AC Repair and Services System a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario en el lado del servidor y la implementación de una política de seguridad de contenido (CSP) para restringir la ejecución de scripts maliciosos. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación.
Actualizar a una versión parcheada o aplicar una solución que filtre o escape correctamente las entradas de usuario en la función afectada (admin/?page=system_info/contact_information) para evitar la inyección de código XSS. Validar y limpiar los datos de entrada antes de mostrarlos en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5021 is a cross-site scripting (XSS) vulnerability in SourceCodester AC Repair and Services System versions 1.0-1.0, allowing attackers to inject malicious scripts.
You are affected if you are using SourceCodester AC Repair and Services System versions 1.0 or 1.0. Upgrade to 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 of the AC Repair and Services System. Consider input validation and output encoding as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests potential future exploitation.
Refer to the SourceCodester website or their official communication channels for the advisory related to CVE-2023-5021.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.